Et stigende pres på danske virksomheder
Ifølge Center for Cybersikkerhed er truslen fra cyberkriminalitet mod danske virksomheder meget høj – uanset branche og størrelse. Statistikkerne taler deres tydelige sprog, og omkring en femtedel af alle virksomheder med mindst ti ansatte har oplevet et sikkerhedsbrud, og hele 40% af SMV’erne har et alt for lavt digitalt sikkerhedsniveau i forhold til deres risikoprofil. Endnu værre er det, at mange stadig ikke tager basale forholdsregler. Omkring 15% får hverken opdateret systemer eller taget backup af data, og fire ud af ti virksomheder anvender stadig ikke stærke adgangskoder.
Resultatet er, at det bliver let for it-kriminelle at finde huller, og mange angreb er helt automatiserede. De udføres af robotter, der konstant scanner nettet for sårbarheder – og når de finder en, går de i gang. Angrebene er altså sjældent personlige, men konsekvenserne kan være både økonomisk og menneskeligt ødelæggende.
Når virkeligheden rammer: En færøsk detailkæde fortæller
Et af webinarets mest tankevækkende indslag kom fra Eyðstein Joensen, der er CFO i detailkæden Skalkur med både fysiske butikker og webshop på Færøerne. Virksomheden oplevede i 2023 at blive ramt af et hackerangreb, som startede med noget så banalt som en stjålet adgangskode.
En robot havde i månedsvis forsøgt at gætte adgangskoder til virksomhedens webshop, og da det endelig lykkedes, indsatte hackerne et falsk betalingsmodul, som opsnappede kundernes kortoplysninger. De første tegn var små: Kinesiske tegn på hjemmesiden og fejl i checkout-processen. Men da flere kunder begyndte at reagere, stod det klart, at noget var alvorligt galt.
Reaktionen var resolut. Webshoppen blev øjeblikkeligt lukket, kunderne blev kontaktet personligt, bankerne blev advaret, og politiet samt Datatilsynet blev underrettet. På få timer var kommunikationen sat i system, og i løbet af aftenen havde alle berørte kunder fået besked. Den hurtige og ærlige håndtering blev afgørende for, at virksomheden ikke mistede sit gode omdømme – men økonomisk blev skaden alligevel mærkbar. Over to millioner kroner gik tabt i mistet salg, erstatninger og genopbygning af webshoppen, der var nede i mere end en måned.
“Det var voldsomt,” fortalte Ejsten. “Vi troede, vi havde styr på vores sikkerhed, men vi lærte, hvor lidt der skal til. I dag spørger jeg altid vores it-leverandør: Er det for nemt at logge ind og ændre noget? Hvis svaret ikke er klart, så henter jeg en second opinion. Det er langt billigere end at blive hacket.”
Hvordan tænker en hacker?
Thomas Ljungberg arbejder til dagligt som “white hat hacker”, hvor han hjælper virksomheder med at teste deres it-sikkerhed ved at agere fjendtlig hacker. På webinaret forklarede han, hvordan it-kriminelle opererer. Han foretrækker nemlig at kalde dem kriminelle frem for hackere, fordi det gør trusselsbilledet mere realistisk: “Når vi siger hacker, tænker mange på Hollywood og computergenier i hættetrøjer. Men virkeligheden er, at de fleste angreb udføres af organiserede kriminelle, der driver en egentlig (og kriminel) forretning.”
Han delte truslerne op i to hovedkategorier. Den ene retter sig mod mennesker, den anden mod teknikken. De menneskelige angreb er typisk svindel, hvor nogen forsøger at narre medarbejdere til at gøre noget forkert – klikke på et link, overføre penge eller afgive adgangsoplysninger. “Det er i virkeligheden moderne gadetyveri,” forklarede Thomas. “Forestil dig, at en fremmed stopper dig på gaden og siger, at han er fra banken og skal bruge dit kreditkort. Du ville aldrig udlevere det – men når beskeden kommer i en e-mail, gør mange det alligevel.”
Den anden kategori er de tekniske angreb, hvor it-kriminelle udnytter fejl eller manglende opdateringer i systemer. Her spiller automatisering og kunstig intelligens en stigende rolle. Hackerne kan i dag sætte avancerede værktøjer til at scanne tusindvis af systemer for kendte sårbarheder – og angribe på få sekunder, når de finder et hul.
Ifølge Thomas handler det ikke om, hvorvidt man bliver forsøgt angrebet, men om hvor godt man er forberedt. “De fleste virksomheder bliver ramt før eller siden. Forskellen er, om man opdager det i tide – og om man har et værn, der forhindrer, at et klik på et link ender med en lukket virksomhed.”
Ledelsen skal tage ansvar
En af webinarets hovedpointer var, at sikkerhed starter med ledelsen. Uanset om man driver en enkeltmandsvirksomhed eller et selskab med tusind ansatte, er det ledelsen, der bærer ansvaret for at sikre data, systemer og kundetillid. Det kræver ikke nødvendigvis store investeringer, men en bevidst holdning til, hvordan man vil beskytte sin virksomhed.
De fleste sikkerhedsbrud sker ikke, fordi nogen er onde – men fordi nogen er uopmærksomme. Et svagt kodeord, en manglende opdatering eller et uheldigt klik kan være nok til at kompromittere hele driften. Mange virksomheder har styr på backup, men glemmer at teste, om den faktisk virker. Andre har politikker på papir, som ingen medarbejdere kender. En it-sikkerhedspolitik har kun værdi, hvis den bliver omsat til praksis i hverdagen.
Syv trin mod bedre digital sikkerhed
Webinaret samlede flere konkrete anbefalinger fra Sikker Digital og eksperterne. Den første handler om at kende sine data. Man kan ikke beskytte noget, man ikke ved, man har. Derfor bør enhver virksomhed skabe et overblik over, hvilke systemer der indeholder de mest kritiske oplysninger – og hvem der har adgang til dem. Dernæst bør man gennemføre en risikovurdering, hvor man overvejer både konsekvens og sandsynlighed: Hvad sker der, hvis systemet går ned, og hvor stor er risikoen for, at det sker?
Et andet centralt punkt er adgangssikkerhed. Stærke adgangskoder og to-faktor-login er helt afgørende. En adgangskode bør helst bestå af mindst 12 tegn, og man bør tænke i lange sætninger frem for ord – det er både lettere at huske og sværere at knække. To-faktor-login gør det markant sværere for uvedkommende at få adgang, selv hvis et kodeord slipper ud.
Opdatering af systemer er en tredje grundpille. Mange tror, at opdateringer handler om nye funktioner, men oftest handler de om at lukke sikkerhedshuller. Ved at aktivere automatiske opdateringer og sikre, at både telefoner, computere og servere holdes ajour, lukker man en stor del af de bagdøre, hackerne ellers udnytter.
Backup er endnu et af de råd, der lyder banalt, men som redder virksomheder hver dag. At tage backup er én ting – at sikre, at den faktisk kan genskabes, er en anden. En god tommelfingerregel er at teste sin backup mindst et par gange om året og gerne opbevare en kopi offline.
Endelig er der den menneskelige faktor. Mange sikkerhedsbrud opstår, fordi medarbejdere ikke er bevidste om risikoen. Derfor er awareness-træning en af de bedste investeringer, man kan foretage. Når medarbejderne ved, hvordan svindel ser ud, og hvordan man reagerer på mistænkelige mails, falder risikoen dramatisk.
Til sidst bør alle virksomheder have en plan for, hvad de gør, hvis uheldet er ude. En beredskabsplan skal afklare, hvem der skal kontaktes først, og hvordan man kommunikerer med kunder, presse og samarbejdspartnere. Erfaringerne fra Færøerne viser, at hurtig, ærlig og klar kommunikation kan redde både relationer og omdømme.
Fra lovkrav til sund fornuft
GDPR og informationssikkerhed kan virke som tunge juridiske emner, men i virkeligheden handler de om tillid og ansvar. Kunder forventer, at virksomheder passer på deres data, og medarbejdere forventer, at deres arbejdsplads tager sikkerhed alvorligt. Det er ikke blot et lovkrav, men et konkurrenceparameter og et spørgsmål om ordentlighed.
Som Kim fra Lexoforms udtrykte det: “Spørgsmålet er ikke, om du bliver forsøgt hacket – men hvordan du håndterer det, når det sker.”
Cyberkriminalitet er kommet for at blive, men med sunde digitale vaner, løbende opdateringer og et ledelsesmæssigt fokus på risikostyring kan man stå langt stærkere. Det handler ikke om at opbygge et uigennemtrængeligt forsvar, men om at være forberedt, opmærksom og klar til at reagere. Den bedste beskyttelse mod it-kriminalitet er i sidste ende en kombination af teknologi, træning og sund fornuft.
